Los ataques de Active Listing llegan a la corriente principal



Comprender las limitaciones de los protocolos de autenticación, especialmente a medida que las empresas vinculan la autenticación a los servicios en la nube con Energetic Directory, es esencial para los equipos de seguridad en la empresa federada moderna.

Hubo un momento en que los ataques contra la infraestructura de identidad y autenticación eran el dominio de actores de amenazas bien financiados y, probablemente, respaldados por el estado. Estos grupos anhelan la persistencia en redes críticas e invertirían fuertemente en tácticas que les permitirían no solo establecerse en sistemas vitales sino también un movimiento lateral sigiloso de recurso a recurso.

El acceso a Active Directory, los controladores de dominio y la explotación de las debilidades conocidas en el protocolo de autenticación Kerberos fueron a menudo clave en estos esfuerzos, y durante mucho tiempo requirieron un tiempo de permanencia significativo para, por ejemplo, falsificar tickets Kerberos y moverse por una red solicitudes de servicio legítimas.

Sin embargo, el advenimiento de herramientas de prueba de lápiz de código abierto como Mimikatz, una herramienta de eliminación de credenciales capaz de recuperar texto plano o contraseñas hash de los sistemas, redujo la brecha de conocimiento necesaria para aprovechar este tipo de ataques. Los tiempos de espera pasaron de días o semanas a minutos, y lo que period casi exclusivamente el dominio de los grupos de amenazas persistentes avanzadas ahora también estaba al alcance de los niños del guión.

Mimikatz, en individual, se ha integrado en los arsenales de cerca de 30 grupos patrocinados por el estado y se ha utilizado en ataques devastadores, incluido NotPetya de 2017, que se introdujo en la cadena de suministro de gobiernos y organizaciones del sector privado en Europa, y el ataque de 2011 Autoridad de certificación holandesa DigiNotar, que finalmente llevó a la quiebra a la empresa.

Dado que Active Listing es reconocido como la plataforma de identidad de facto para empresas y gobiernos que ejecutan Home windows, y permite la autenticación para numerosos servicios empresariales, es lógico que los piratas informáticos también inviertan en ataques para aprovecharlo. La naturaleza sin estado del protocolo Kerberos, que autentica las solicitudes a los servicios empresariales, es especialmente atractiva.

Como protocolo sin estado, las transacciones Kerberos durante el proceso de autenticación no se retienen durante o después de la sesión. Esta dinámica lo hace susceptible a ataques conocidos que permiten a los malos actores falsificar tickets de Kerberos o reutilizar credenciales robadas para moverse lateralmente a través de la red sin ser detectados, aumentando los privilegios hasta que obtengan un regulate complete sobre los archivos, servidores y servicios.

Tres décadas de Kerberos
Kerberos no es joven. Sus raíces se remontan 30 años al Proyecto Athena del MIT, y fue rápidamente adoptado como sucesor de NTLM (Home windows NT LAN Manager), que period el protocolo de autenticación estándar de Microsoft anterior a Home windows 2000. NTLM también estuvo plagado de vulnerabilidades que pusieron las credenciales. procesado en riesgo de robo. Kerberos era superior a los métodos de autenticación preexistentes, incluido NTLM. Pero la compatibilidad con estos métodos que no son de Kerberos creó exposiciones, especialmente con aplicaciones heredadas que no podían descartarse fácilmente.

Pronto se hizo evidente que algunas implementaciones de Kerberos eran inestables, y las herramientas como Mimikatz, Metasploit y otras desarrolladas para la investigación de seguridad legítima han sido cooptadas muchas veces por actores de amenazas para apuntar a estas implementaciones.

Benjamin Delpy, el investigador francés que construyó Mimikatz, junto con Alva Duckwall demostrado en la conferencia Black Hat 2014 La próxima iteración de ataques contra Kerberos. El ataque Golden Ticket de Delpy y Duckwall permite a los atacantes generar un Ticket Generador de Boletos Kerberos (TGT), dándoles efectivamente credenciales de administrador de dominio a cualquier computadora en la crimson durante la vida del boleto. Las herramientas más nuevas, incluidas CrackMapExec, Bloodhound, DeathStar, Offended Pup y Go Fetch, hacen que sea más fácil que nunca que los atacantes se establezcan en un entorno objetivo para forjar rápidamente entradas, reproducir credenciales o mapear el system para expandir su management .

En cuestión de pocos años, el tiempo de permanencia se redujo a minutos debido a estas herramientas que pueden auditar rápidamente una red y proporcionar una ruta que permite el movimiento lateral y el acceso privilegiado al entorno de purple completo. E incluso los defensores con más recursos, mientras tanto, continúan luchando.

El pirateo de la ONU demuestra el vínculo de los defensores
Más recientemente, un ataque de espionaje divulgado en enero tuvo como objetivo tres oficinas de las Naciones Unidas en Europa. Los atacantes explotaron una vulnerabilidad en Microsoft SharePoint para obtener acceso a Lively Directory en las tres ubicaciones de la ONU y, finalmente, moverse lateralmente en esas redes respectivas.

Si bien no se ha atribuido el ataque de la ONU, hay señales de una presencia a largo plazo en la pink de la organización y un objetivo de Active Directory para robar información sobre cientos de personas, así como información de recursos humanos y otras bases de datos y recursos de purple, según informes. Hay cerca de 4.000 empleados en las tres oficinas comprometidas de la ONU, y el ataque se detectó en agosto pasado, cerca de un mes después de la intrusión inicial, The New Humanitarian, anteriormente una publicación de la ONU, reportado en enero.

Docenas de servidores alojados por la ONU en sus oficinas de Viena y Ginebra, así como en su Oficina del Alto Comisionado para los Derechos Humanos (ACNUDH) se vieron comprometidos Algunos de esos servidores se utilizaron para la gestión de usuarios y contraseñas, controles del sistema y firewalls de crimson, informó The New Humanitarian. Los atacantes pudieron ver los datos almacenados en sus servidores en Viena, y también pudieron extraer listados de Energetic Listing del ACNUDH, que maneja informes de violaciones de derechos humanos.

El truco de la ONU demuestra que los defensores están en apuros y necesitan más visibilidad en los sistemas de autenticación para asegurarse de que no hayan sido subvertidos, y que sus otros controles, herramientas y procesos de seguridad continúen operando según lo previsto.

Comprender las limitaciones de los protocolos de autenticación como NTLM, Kerberos y SAML, especialmente a medida que las empresas vinculan la autenticación a los servicios en la nube con Energetic Directory, es esencial para los equipos de seguridad en la empresa federada moderna.

Las organizaciones más inteligentes encontrarán una manera de aprovechar los sistemas distribuidos modernos y las plataformas de análisis, mejoradas por el aprendizaje automático, para dominar los enormes conjuntos de datos que generarán las implementaciones en la nube, al tiempo que integran las operaciones de seguridad más estrechamente con el desarrollo y la gestión de TI.

Contenido relacionado:

Jason Crabtree cofundó QOMPLX en 2014 con Andrew Sellers. Como CEO de QOMPLX, el Sr. Crabtree es responsable de la visión standard y la dirección a largo plazo de la compañía, además de supervisar todos los aspectos de las operaciones de la compañía. Antes de QOMPLX, Jason más recientemente … Ver biografía completa

Más suggestions





Enlace a la noticia primary